Utopia Image

Unendlich viele Bahn-Tickets gratis – wegen Sicherheitslücke beim Freundschaftspass

Volle Züge: Wann darf man in die 1. Klasse wechseln?
Foto: CC0 Public Domain / unsplash - Yannes Kiefer

Die deutsch-französischen Bahntickets sorgten bereits für Aufsehen – am Tag der Anmeldung brach die Website zusammen. Nun stellt sich heraus: Auch das Vergabesystem hatte eine Lücke. Dazu kommen Verstöße gegen den Datenschutz.

Vergangene Woche haben 60.000 junge Menschen aus Deutschland und Frankreich die Möglichkeit bekommen, kostenlos ins jeweils andere Land zu reisen. Dafür haben die beiden Nachbarländer den deutsch-französischen Freundschaftspass erstellt. Über eine Webseite konnten interessierte Menschen die Tickets erwerben. Doch die Antragsseite hatte eine Sicherheitslücke – das hat das IT-Kollektiv Zerforschung herausgefunden, wie Heise berichtet.

Menschen konnten sich unendlich viele Bahn-Tickets ausstellen lassen. Auch dann, wenn sie das notwendige Prozedere nicht durchliefen – und sogar dann als die 30.000 Tickets für Deutschland bereits vergeben waren. 

Für den Betrug sei es lediglich notwendig gewesen, dem System weis zu machen, dass die Anmeldung im System bereits vor Vergabe des letzten Tickets stattfand, erklärt Zerforschung. Nur einen Namen und eine funktionierende Mail-Adresse brauchte es dafür. Theoretisch konnten so „unendlich viele“ Tickets erworben werden, zitiert Heise das IT-Kollektiv. Die Organisation des Tickets stand bereits zuvor in Kritik: Denn unter den vielen Anfragen für die Tickets war die Seite zusammengebrochen. 

Website nicht ausgelegt auf großes Interesse

Die kostenlosen deutsch-französischen Tickets sollten den Austausch junger Menschen zwischen beiden Ländern befördern. Bewerben konnten sich Einwohner:innen beider Länder zwischen 18 und 27 Jahren am vergangenen Montag. 30.000 Tickets gab es pro Land.

Doch auf das immens großen Interesse waren die Organisator:innen auf deutscher Seite nicht vorbereitet und die Website brach zusammen. So sei es „praktisch unmöglich“ gewesen, eines der Tickets zu erhalten, so Heise. 

Auch das Vergabesystem first-come, first-serve war von vielen Seiten kritisiert worden. Ein Losverfahren wäre eine faire Alternative gewesen, findet Zerforschung.

Viele unrechtmäßige Tickets vergeben?

Am Dienstag, einen Tag nach Antrags-Deadline des Tickets, stieß Zerforschung dann auf den Fehler, der Menschen womöglich unrechtmäßige und unendlich viele Tickets bescherte. In der Nacht zu Mittwoch meldete Zerforschung die Schwachstelle den Behörden. Was sich nach Angaben des IT-Kollektivs als gar nicht so einfach gestaltete, da kein Sicherheits-Kontakt zu finden war. Schließlich wandte sich das Kollektiv an verschiedene Stellen.  

Doch trotz Versuche der Behörden seien noch bis Donnerstag über diese Lücke weiterhin Freundschaftspässe illegal erhältlich gewesen sein. Erst am Abend war der Fehler behoben. 

Knapp 246.000 Nutzer:innen-Daten "quasi offen" im Netz

In der Zwischenzeit entdeckte das Kollektiv eine weitere Panne. Phasenweise waren knapp 246.000 personenbezogene Daten aus dem Interrail-Programm DiscoverEU „quasi offen im Internet“ und „mit wenig Aufwand und Vorwissen abrufbar“, schreibt Zerforschung in seinem Blog. 

Die Technik für die Vergabe der Tickets hatte die Marketingagentur MCI Brussels bereitgestellt. Sie verkündete gegenüber Zeit Online am gestrigen Montag, dass bereits am Freitag alle Sicherheitslücken geschlossen wurden. Illegal erworbene Tickets könnten demnach nicht mehr eingelöst werden. Zerforschung war jedoch noch am Sonntag in der Lage ihre unrechtmäßig erhaltenen Tickets mit Hilfe eines Bestätigungscodes in gültige einlösen.

Wie kann das Ticket genutzt werden?

Ab dem 1. Juli 2023 gelten die deutsch-französischen Freundschaftspässe. Inhaber:innen können die Tickets bis Jahresende für einen Monat an sieben, frei gewählten Tagen nutzen – in beliebig vielen Zügen. Nur die Sitzplatzreservierung muss mitunter kostenpflichtig erworben werden. 

Weiterlesen auf Utopia.de: 

** mit ** markierte oder orange unterstrichene Links zu Bezugsquellen sind teilweise Partner-Links: Wenn ihr hier kauft, unterstützt ihr aktiv Utopia.de, denn wir erhalten dann einen kleinen Teil vom Verkaufserlös. Mehr Infos.

War dieser Artikel interessant?

Vielen Dank für deine Stimme!